Vraag een ondernemer wanneer de AI-geletterdheidsplicht ingaat, en je hoort bijna altijd hetzelfde antwoord: augustus 2026. Het staat op elke compliance-slide en in elke nieuwsbrief. Het is ook het verkeerde antwoord. De plicht uit artikel 4 van de AI Act geldt niet vanaf volgende zomer, maar is sinds 2 februari 2025 van toepassing. Wat in augustus 2026 begint, is niet de regel, maar de handhaving.
Dat verschil lijkt een detail. Het is juist het hele punt. Wie wacht op „de deadline” behandelt geletterdheid als iets dat nog moet beginnen, terwijl het al ruim een jaar een verplichting is. En geletterdheid heeft een vervelende eigenschap die de meeste compliance-checklists missen: je kunt hem niet met terugwerkende kracht aantonen.
De deadline die je al achttien maanden geleden miste
De AI Act kent een gespreide invoering, en daar gaat het mis in de hoofden. Artikel 4, de geletterdheidsplicht, is een van de eerste onderdelen die ging gelden: sinds februari 2025. De datum die iedereen onthoudt, 2 augustus 2026, is het moment dat de nationale toezichthouders mogen gaan controleren en sanctioneren. De regel bestaat dus al lang voordat er een agent op straat staat om hem te handhaven.
In Nederland is die agent zelf ook nog in aanbouw. Het kabinet legde de uitvoeringswet die de Autoriteit Persoonsgegevens en de RDI als toezichthouders aanwijst pas dit voorjaar ter internetconsultatie voor. Precies dat gat, de regel bestaat al, de handhaver nog niet, is de val. Het voelt alsof er niets van je gevraagd wordt, terwijl de plicht al loopt. Bedrijven die nu beginnen, denken voor te lopen. In werkelijkheid lopen ze achttien maanden achter.
Waarom ‘geen certificaat verplicht’ het juist moeilijker maakt
De reflex bij een nieuwe plicht is een cursus inkopen en een vinkje zetten. Bij artikel 4 werkt dat niet, en dat ligt aan hoe de wet „voldoende” definieert.
Voldoende AI-geletterdheid is geen vast curriculum maar een contextuele norm: hoeveel iemand van AI moet begrijpen, hangt af van wie hij is en waarvoor hij het gebruikt. De Europese Commissie zegt in haar toelichting dat er geen verplicht certificaat en geen standaardtraining bestaat. Vier factoren bepalen samen wat „voldoende” in jouw geval betekent:
- Voorkennis: de technische kennis, opleiding en ervaring van de medewerker zelf.
- Context: waarvoor en binnen welk proces het AI-systeem wordt ingezet.
- Risico: hoeveel schade een verkeerd begrepen of verkeerd gebruikt systeem kan aanrichten.
- Betrokkenen: de mensen op wie het systeem wordt toegepast, of dat nu klanten, sollicitanten of patiënten zijn.
Klinkt als ruimte, maar het is juist lastiger. Geen verplicht format betekent dat er niets te kópen valt waarmee je klaar bent. Je moet zelf een norm formuleren die past bij jouw systemen en jouw mensen, en die later ook kunnen verdedigen. Een generieke ‘AI-awareness’-module van een uur vinkt geen plicht af, want de wet vraagt niet of je team íéts over AI weet, maar of het genoeg weet over de AI die het zélf gebruikt. AI-geletterdheid ontstaat dan ook niet in een eenmalige sessie, maar in dagelijks gebruik dat je team stap voor stap opbouwt.
De echte reden is niet de boete
Wie de geletterdheidsplicht puur als juridisch risico ziet, mist waar het werkelijk om gaat. Het probleem dat de wet adresseert, bestaat allang in je bedrijf, of er nu een boete tegenover staat of niet.
Uit onderzoek waarin 78% van de medewerkers toegeeft AI-tools te gebruiken die hun werkgever niet heeft goedgekeurd blijkt hoe groot het gat is. Bijna de helft verbergt dat gebruik actief, onder de jongste werknemers nog meer. En slechts een fractie kreeg ooit serieuze uitleg: in datzelfde onderzoek had 7,5% uitgebreide AI-instructie gehad, en bijna een kwart helemaal niets. Met andere woorden: je mensen gebruiken AI al massaal, vaak buiten zicht, en bijna niemand heeft ze geleerd waar de grenzen liggen.
Daar zit het echte risico, en het is niet bestuursrechtelijk maar operationeel. Iemand die niet begrijpt hoe een taalmodel met data omgaat, plakt een klantenbestand in een chatvenster om „snel een samenvatting” te krijgen. Het risico zit dan niet in het model maar in welke bedrijfsdata medewerkers in zo’n tool plakken. Een geletterdheidsnorm is geen papieren verplichting; het is de enige rem die voorkomt dat goedbedoeld gebruik een datalek wordt. De AI Act heeft dat gat niet gecreëerd. Hij maakt het alleen zichtbaar en, vanaf augustus 2026, toetsbaar.
Maar het is toch een inspanningsverplichting?
De sterkste tegenwerping ken ik, en hij is eerlijk. Artikel 4 vraagt bedrijven maatregelen te nemen „naar beste vermogen”. Dat is een inspanningsverplichting, geen resultaatsverplichting, en er staat geen aparte boete op een tekort aan geletterdheid zoals die er wel staat op het inzetten van een verboden systeem. Waarom dan nu al bewegen, als er voorlopig geen tanden achter de regel zitten?
Omdat „naar beste vermogen” niet hetzelfde is als „naar eigen inzicht niets”. Een inspanningsverplichting toets je juist aan wat je aantoonbaar hebt gedaan: hoe hoger het risico van wat je inzet, hoe meer er van je verwacht wordt. Een bedrijf dat AI op gevoelige beslissingen loslaat en niets aan geletterdheid deed, faalt die toets, ook zonder een boete die specifiek „geletterdheid” heet. En de plicht staat niet op zichzelf. Een medewerker die niet begrijpt wat een systeem mag, veroorzaakt al snel een overtreding die wél beboetbaar is: een transparantieschending, een verkeerd ingezet hoog-risicosysteem, een datalek onder de AVG. Geletterdheid is de goedkope verzekering tegen de dure fouten, niet andersom.
Wat je achteraf niet meer kunt dichten
Hier komt de eigenschap terug waarmee ik begon. De meeste compliance-verplichtingen kun je nog repareren als de inspecteur belt: een register bijwerken, een verwerkersovereenkomst alsnog tekenen, een logboek aanvullen. Geletterdheid niet.
Geletterdheid is een eigenschap op een moment in de tijd. De vraag is niet of je team vandaag een cursus kan volgen, maar of de mensen die zes maanden geleden een beslissing namen met een AI-uitkomst, toen begrepen wat ze deden. Komt er een incident, een datalek, een klacht over een geautomatiseerd besluit, dan kijkt iedereen terug naar dat moment. En je kunt geen trainingsregistratie verzinnen voor een begrip dat er toen niet was. Of je had de norm gedefinieerd voordat het misging, of je staat met lege handen.
Dat maakt de opgave concreter dan een cursus boeken. Definieer nu, per rol en per systeem, wat iemand minimaal moet begrijpen voordat hij op een AI-uitkomst mag leunen: welke gegevens er niet in mogen, wanneer een mens de uitkomst controleert, waar het systeem notoir de mist in gaat. Leg vast dat je het hebt uitgelegd. Net als bij de transparantieplicht die bedrijven dwingt te inventariseren welke AI ze inzetten, begint het bij weten wat je in huis hebt; wie het breder wil aanpakken, werkt de nalevingschecklist voor de AI Act als stappenplan af.
AI-geletterdheid is geen HR-formaliteit en geen vinkje voor de zomer van 2026. Het is de nuchtere vraag of de mensen die vandaag al AI gebruiken, snappen wat ze aan het doen zijn. De wet heeft dat gat niet gemaakt; hij heeft er alleen een datum op gezet. De boete in augustus 2026 is daarbij het kleinste risico. Het grootste is dat je achttien maanden lang dacht dat je nog tijd had.
Veelgestelde vragen
Van plicht naar werkende norm
Ik help je de AI-geletterdheidsplicht vertalen naar een norm die past bij jouw systemen, rollen en risico's: van meedenken over wat 'voldoende' betekent tot het end-to-end inrichten en aantoonbaar maken ervan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
